北京赛克艾威科技有限公司 2024-07-02
Parse Server 是一个用于构建移动应用程序和Web应用程序开源框架。 受影响版本中,当 Parse Server 使用 PostgreSQL 数据库时,Parse Server 中的 literalizeRegexPart 函数在处理 PostgreSQL 查询时未能正确处理特殊字符和正则表达式转义字符\,导致 SQL 注入漏洞。 修复版本中,通过改进转义逻辑并处理所有特殊字符以修复漏洞。
1. 将组件 parse-server 升级至 6.5.7 及以上版本 2. 将组件 parse-server 升级至 7.1.0 及以上版本
https://www.oscs1024.com/hd/MPS-saer-duhp
https://github.com/advisories/GHSA-c2hr-cqg6-8j6r
https://github.com/parse-community/parse-server/pull/9167